Woburn, MA – 19 Mayıs 2023 – Kaspersky araştırmacıları, ilk olarak Mart ayında Rus-Ukrayna ihtilaf bölgesindeki şirketleri hedef alan CommonMagic kampanyası hakkında daha fazla ayrıntı sağladı. Yeni araştırma, aynı tehdit aktörünün daha karmaşık kötü niyetli faaliyetlerini ortaya koyuyor. Soruşturma, yeni keşfedilen çerçevenin kurbanbilimini Orta ve Batı Ukrayna’daki kuruluşları kapsayacak şekilde genişlettiğini belirledi. Kaspersky uzmanları, bilinmeyen aktörü BugDrop Operasyonu ve Groundbai Operasyonu (Prikormka) gibi önceki APT kampanyalarıyla da ilişkilendirdi.
Mart 2023’te Kaspersky, Rusya-Ukrayna çatışma bölgesinde yeni bir APT kampanyası bildirdi. CommonMagic adlı bu kampanya, casusluk faaliyetleri yürütmek için PowerMagic ve CommonMagic implantlarını kullanır. Eylül 2021’den beri aktiftir ve hedeflenen varlıklardan veri toplamak için önceden tanımlanamayan bir kötü amaçlı yazılım kullanır. O sırada bu saldırıdan sorumlu olan tehdit aktörü bilinmiyor olsa da Kaspersky uzmanları, daha fazla içgörü toplamak için bilinmeyen etkinliğin izini unutulmuş kampanyalara kadar sürerek araştırmalarına devam ettiler.
Yakın zamanda ortaya çıkarılan kampanya, CloudWizard adlı modüler bir çerçeve kullandı. Kaspersky’nin araştırması, bu çerçevede, her biri dosya toplama, keylogging, ekran görüntüsü yakalama, mikrofon girişi kaydetme ve parola çalma gibi farklı kötü amaçlı etkinliklerden sorumlu olan toplam 9 modül belirledi. Özellikle, modüllerden biri Gmail hesaplarından veri sızdırmaya odaklanıyor. Bu modül, tarayıcı veritabanlarından Gmail tanımlama bilgilerini ayıklayarak, etkinlik günlüklerine, kişi listelerine ve hedeflenen hesaplarla ilişkili tüm e-posta mesajlarına erişebilir ve bunları kaçırabilir.
Ayrıca, araştırmacılar kampanyada genişletilmiş bir kurban dağılımını ortaya çıkardılar. Daha önceki hedefler öncelikle Donetsk, Luhansk ve Kırım bölgelerinde yer alırken, şimdi kapsam Batı ve Orta Ukrayna’daki bireyleri, diplomatik kuruluşları ve araştırma kuruluşlarını kapsayacak şekilde genişledi.
CloudWizard ile ilgili kapsamlı araştırmaların ardından Kaspersky uzmanları, bunu bilinen bir tehdit aktörüne atfetmede önemli ilerleme kaydetti. CloudWizard ile daha önce belgelenmiş iki kampanya arasında kayda değer benzerlikler gözlemlediler: Groundbait Operasyonu ve BugDrop Operasyonu. Bu benzerlikler arasında kod benzerlikleri, dosya adlandırma ve listeleme kalıpları, Ukraynalı barındırma hizmetleri tarafından barındırma ve Batı ve Orta Ukrayna ile Doğu Avrupa’daki çatışma bölgesindeki paylaşılan kurban profilleri yer alıyor.
Ayrıca CloudWizard, yakın zamanda bildirilen CommonMagic kampanyasıyla da benzerlikler gösteriyor. Kodun bazı bölümleri aynıdır, aynı şifreleme kitaplığını kullanırlar, benzer bir dosya adlandırma biçimini izlerler ve Doğu Avrupa çatışma alanı içindeki kurban konumlarını paylaşırlar.
Bu bulgulara dayanarak Kaspersky uzmanları, Prikormka, Groundbait Operasyonu, BugDrop Operasyonu, CommonMagic ve CloudWizard’ın kötü amaçlı kampanyalarının hepsinin aynı aktif tehdit aktörüne atfedilebileceği sonucuna vardı.
Kaspersky Küresel Araştırma ve Analiz Ekibi güvenlik araştırmacısı Georgy Kucherin, “Bu operasyonlardan sorumlu tehdit aktörü, on beş yılı aşkın bir süredir araç setini sürekli olarak geliştirerek ve ilgili kuruluşları hedef alarak siber casusluk konusunda ısrarlı ve süregelen bir bağlılık sergiledi” dedi. APT saldırıları için önemli bir itici güç olmaya devam ediyor ve Rusya-Ukrayna çatışma alanındaki hakim gerilim göz önüne alındığında, bu aktörün öngörülebilir gelecekte operasyonlarına devam edeceğini tahmin ediyoruz.”
CloudWizard kampanyasıyla ilgili raporun tamamını Securelist’te okuyun.
Bilinen veya bilinmeyen bir tehdit aktörünün hedefli saldırısına kurban gitmemek için Kaspersky araştırmacıları aşağıdaki önlemlerin alınmasını öneriyor:
- SOC ekibinize en son tehdit istihbaratına (TI) erişim sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketin TI’sı için tek bir erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verilerini ve içgörüleri sağlar.
- GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile siber güvenlik ekibinizin en son hedeflenen tehditlerle mücadele etme becerisini artırın
- Olayların uç nokta düzeyinde tespiti, araştırılması ve zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümleri uygulayın
- Temel uç nokta korumasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi ağ düzeyinde gelişmiş tehditleri erken bir aşamada algılayan kurumsal düzeyde bir güvenlik çözümü uygulayın.
- Pek çok hedefli saldırı kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, örneğin Kaspersky Otomatik Güvenlik Farkındalık Platformu aracılığıyla güvenlik bilinci eğitimi verin ve ekibinize pratik beceriler öğretin